Поздним вечером 1-го октября 2021 года была замечена серьёзная атака на наши сервера. Сначала, вместе с обновлением плагинов сайтов, на машине появился червь, затем он начал распространяться по всем сайтам нашей сети. В оперативном режиме сайты были выключены во избежание потенциального заражения пользователей.
Все проекты были помещены в карантин и запускались с ночи до утра для проверки результатов лечения сайтов. В процессе поиска решения был создан специальный софт внутри студии – WPCure. Он позволяет найти потенциальные угрозы, отмечает их и предлагает решения по обезвреживанию. 8-го октября мы уже нашли решение всех проблем с атаками, однако до 12-го октября некоторые сайты не работали в связи с переездом и созданием дополнительных резервных копий.
В результате атак пользовательские данные, насколько нам известно, не пострадали. В период атак пользователи могли видеть несанкционированную рекламу, ошибки 404 и 403, ошибки в загрузке сайта и прочие артефакты.
Автор атаки был идентифицирован. Им оказался пользователь GitHub с юзернеймом japext1. Фрагменты его репозитория MARIJUANA были доставлены на наш сервер и занимались распространением вредоносного кода. Автор получил блокировку от GitHub, а его репозиторий был удалён.
Исходный код нашей внутренней утилиты WPCure, использовавшийся для очистки наших машин, будет выложен на GitHub когда он будет оптимизирован для использования третьими лицами. Он не является универсальным инструментом, его задача – искать определённые типы вирусов и угроз, оповещать о них и предлагать решение. Он так же может считать подозрительными совершенно безобидные файлы, так что следует вручную проверять большую часть точечных результатов.
Мы продолжаем учиться и улучшать наши навыки в сфере информационной безопасности, чтобы сделать наши продукты лучше для всех пользователей.
С уважением,
команда END PLAY Studio.